sec-audit

OpenClaw Security Audit Skill 是一款专为 OpenClaw/ClawDBot 部署环境设计的专业安全配置审计工具，由 Security Team 开发并维护。该工具通过 15 项精细化检测模块，为系统管理员提供全方位的安全基线检查能力，涵盖从环境变量泄露、明文凭据存储到恶意技能扫描等多个维度的安全隐患识别。

核心用法

用户可通过简单的命令行接口运行安全审计。基础命令 node tools/security-audit.js 即可启动完整检测，支持通过 --format json --output audit-report.json 参数生成结构化 JSON 报告，便于后续自动化处理。此外，工具提供模块化检测能力，使用 --module env,auth,skills,ioc 可针对特定风险领域进行精准扫描，灵活适应不同场景需求。所有检测均在本地完成，结果按 CRITICAL、HIGH、MEDIUM、LOW 四级风险分级展示。

显著优点

该 Skill 的最大优势在于其全面性与安全性的完美结合。检测覆盖范围极广，包括环境变量泄露（SYS-002）、网关认证配置（SYS-006）、沙箱配置（ECO-009）、速率限制（SYS-007）以及 ClawHavoc 恶意技能扫描等 15 个关键安全域。作为纯只读工具，它严格遵循"检测不修复"原则，绝不修改任何系统配置，从根本上杜绝了误操作风险。技术实现上，工具零外部依赖，仅使用 Node.js 内置模块，且对敏感环境变量实施脱敏处理（显示前 4 字符后隐藏），确保审计数据不会外泄。BSS 安全认证 A 级评级进一步验证了其代码质量与可靠性。

潜在缺点与局限性

尽管功能强大，但该工具仍存在一定局限。首先，作者来源为 T3 级社区/个人账号（nx4dm1n），虽经 BSS 认证代码安全，但缺乏官方组织背书，长期维护稳定性有待观察。其次，工具专为 OpenClaw/ClawDBot 生态设计，检测项高度定制化，无法直接迁移至其他平台使用。功能上，它仅提供检测能力而不具备自动修复功能，用户需根据报告手动处理漏洞。此外，运行时需要较高的系统权限（文件系统读取和命令执行），在某些高安全等级环境中可能受限。

适合的目标群体

本 Skill 主要面向 OpenClaw 平台的管理员、DevSecOps 工程师、安全运维人员以及企业合规审计团队。适用于生产环境上线前的安全基线检查、定期安全巡检、以及应对 ClawHavoc 等特定威胁的 IOC 指标检测场景。对于需要满足安全合规要求的企业用户，该工具提供了标准化的检测框架和可追溯的审计报告。

使用风险

使用该技能的主要风险集中在权限需求和执行机制上。工具使用 execSync 执行系统命令（如 netstat、ps、crontab 等）以获取网络和进程信息，虽已通过 safeExec 函数封装（设置 5 秒超时和错误处理），且命令均为硬编码无注入风险，但仍建议仅在受控环境中运行。文件扫描设置了最大深度（5 层）和数量限制（500 文件），在极端大型项目中可能无法完全覆盖。此外，作为社区来源工具，建议用户在测试环境充分验证后再部署至生产环境，并确保审计结果仅由授权人员查看。